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® Temporare Zugansberechtigung zum Zugriff auf Automatisierungseinrichtungen 

® Zum sicheren Aufbau eines tempo raren Zu griffs von ei- 
nem Endgerat auf eine Automatisierungseinrichtung, die 
uber eine physikalische Netzwerkverbindung miteinander 
verbunden sind, verfugt die Automatisierungseinrichtung 
erfindungsgemafc uber einen Zugriffsschutz, der in einem 
Grundzustand jeden Zugang uber die Netzwerkverbin- 
dung abweist. Auf eine Zugriffsanfrage stellt die Automa- 
tisierungseinrichtung einen temporaren Zugang her, in- 
dem ein Token generiert wird, der dem zugreifenden End- 
gerat mitgeteilt wird, worauf das Endgerat mit Hilfe des 
Tokens eine Verbtndung zur Automatisierungseinrichtung 
aufbaut, deren Zugriffsschutz den Token erkennt und den 
Zugang ermoglicht, worauf der generierte Token fur wei- 
tere Zugriffe ungultig gemacht wird. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren zum sicheren 
Aufbau eines temporaren Zugriffs von einem Endgerat auf 
eine Automatisierungseinrichtung, die iiber eine physikali- 5 
sche Netzwerkverbindung miteinander verbunden sind, so- 
wie eine dazu korrespondierende Automatisierungseinrich- 
tung. 

[0002] Im Service- oder Fehlerfall wird haufig seitens ei- 
ner Service-Hotline (Teleservice) eine Online- Verbindung 10 
auf Daten oder Programme einer Automatisierungseinrich- 
tung (AE) benotigt. Eine Automatisierungseinrichtung kann 
z. B. eine Werkzeugmaschine, eine Produktionsmaschine 
oder eine speicherprogramrnierbare Steuerung sein. Ein 
Endgerat kann dabei prinzipiell jedes Gerat (im allgemeinen 15 
einen PC) sein, auf dem eine nicht naher spezifizierte Appli- 
kation lauft, die ein Service-Techniker zur Erfullung seiner 
Aufgabe einsetzt und die eine Online- Verbindung auf die 
Automatisierungseinrichtung benotigt. 

[0003] Diese Online- Verbindung wird heute iiber Modem 20 
und Tfelefonleitung hergestellt Bekannte Programme wie 
"ReachOut" oder "NetMeeting" ermoglichen dann online 
die Fernsteuerung von Applikationen auf der Automatisie- 
rungseinrichtung oder den Transfer von Daten. 
[0004] Die Darstellung gemaB der Fig. 2 zeigt ein Block- 25 
schaltbild mit einer solchen bekannten Anordnung mit einer 
Automatisierungseinrichtung 1, welche iiber ein erstes Mo- 
dem 2 mit einem Telefonnetz 3 verbunden ist. Auf der ande- 
ren Seite ist ein Endgerat 5 gezeigt, das ebenfalls iiber ein 
Modem 4 mit dem Telefonnetz 3 in Verbindung steht. 30 
[00051 In den meisten Fallen bestehen seitens des Betrei- 
bers der Automatisierungseinrichtung 1 hohe Sicherheitsan- 
forderungen, die alleine durch Vergabe eines Logins und ei- 
nes Pass worts nur unzureichend befriedigt werden. Dieses 
Verfahren hat die folgenden Nachteile: 35 

- wer in Besitz von Login und Passwort ist, kann sich 
auf der Automatisierungseinrichtung einloggen. Es 
gibt auf Seite der Automadsierungseinrichtung keine 
Kontrollc, wcr sich cinwahlt, d. h. von wo aus angcru- 40 
fen wird, 

- Login und Passwort sind in der Regel zeitlich unbe- 
grenzt gultig, 

- Daten werden unvcrschliissclt iibcrtragen. 

45 

[0006] Das Sicherheitsproblem wurde daher bisher ein- 
fach durch physikalische Trennung der Online- Verbindung 
gelost, d. h. durch Ziehen des Modemsteckers, was in Fig. 2 
durch die gestrichelte Linie zwischen Telefonnetz 3 und 
dem Modem 2 angedeutet ist. 50 
[0007] Durch die zunehmende Integration von Automali- 
sierungseinrichtungen in eine Netz-Infrastruktur wie Intra- 
net oder Internet werden keine Modemverbindungen mehr 
benotigt. Dadurch entsteht das zusatzliche Problem, dass die 
zum Betrieb der Automatisierungseinrichtung notwendige 55 
physikalische Netzverbindung nicht mehr jederzeit getrennt 
werden kann. 

[0008] Die Anwendung des temporaren Passwortverfah- 
rens ist bei Internet Verbindung besonders vorteilhaft, kann 
aber auch bei Modemverbindungen (z. B. wenn der Stecker 60 
nicht gezogen werden kann) sinnvoll sein. 
[0009] Ein weiterer Vorteil der Erfindung ist, dass keine 
Benutzeradministration notwendig ist. Fur den ZugrifF von 
auBen ist es nicht notwendig, dass ein Administrator einen 
Benutzer fur einen Servicetechniker einrichtet (und nicht 65 
vergisst, den Benutzer wieder zu lbschen, wenn der Account 
nicht mehr benotigt wird). 

[0010] Die Darstellung gemaB der Fig. 3 zeigt ein Block- 



schaltbild einer solchen Anordnung. Eine Automatisie- 
rungseinrichtung 1 ist mit einem Intranet (z. B. iiber Ether- 
net) verbunden. Das Intranet besitzt einen Zugang zu einem 
Internet 7, an das wiederum ein Endgerat 5 angeschlossen 
ist Somit besteht eine physikalische Netzwerkverbindung 
zwischen der Automatisierungseinrichtung 1 und dem End- 
gerat 5. Eine Absicherung ist nur durch eine anlagenweite 
Firewall 8 zwischen dem Intranet 6 und dem Internet 7 mog- 
lich, hingegen keine physikalische Trennung. 
[0011] Eine Firewall steht als Bezeichnung fur alle 
SchutzmaBnahmen (Hard- und Software), die ein Netzwerk 
(z. B. ein lokales Netzwerk LAN oder ein Intranet mit ange- 
schlossenen Servern innerhalb eines Unternehmens) von ei- 
nem anderen (z. B. dem weltweiten Internet auBerhalb des 
Unternehmens oder Ein wahlroutem iiber das ISDN zum Re- 
mote-Zugriff fur Tele- Worker) abschotten. Ziele sind die 
Verhinderung unerlaubten Zugriffs auf sensible Daten, Ver- 
hinderung von Datenverlust und Verhindern des Einschlep- 
pens von Computerviren. 

[0012] Daran wird deutlich, dass eine Firewall aufgrund 
der Vlelzahl der Aufgaben nicht die gleiche Sicherheit bie- 
ten kann, wie eine physikalische Trennung der Verbindung. 
Eine solche ist jedoch, wie bereits erwahnt, in einer Konstel- 
lation gemaB Fig. 3 nicht jederzeit moglich. 
[0013] Eine Firewall bietet i. d. R. keine Zugriffs schutz- 
mechanismen. Tn unserem Szenario ware der Zugriff iiber 
eine Firewall auf das Automatisierungsgerat freigeschaltet, 
um Zugriff von auBen zu ermoglichen. 
[0014] Aufgabe der vorliegenden Erfindung ist es daher, 
einen ausreichend Zugriffsschutz fur eine solche Automati- 
sierungseinrichtung zu schaffen, der auch ohne eine physi- 
kalische Trennung der Verbindung eine vergleichbare Si- 
cherheit bietet. 

[0015] Diese Aufgabe wird gemaB der Erfindung durch 
ein Verfahren zum sicheren Aufbau eines temporaren Zu- 
griffs von einem Endgerat auf eine Automatisierungsein- 
richtung gelost, die iiber eine physikalische Netzwerkver- 
bindung miteinander verbunden sind, wobei die Automati- 
sierungseinrichtung uber einen Zugriffsschutz verfugt, der 
in cincm Grundzustand jeden Zugang iiber die Netzwerk- 
verbindung. abweist, wobei die Automatisierungseinrich- 
tung auf eine Zugriffsanfrage einen temporaren Zugang her- 
stellt, indem ein Token generiert wird, der dem zugreifenden 
Endgerat mitgetcilt wird, worauf das Endgerat mit Hilfc des 
Tokens eine Verbindung zur Automatisierungseinrichtung 
aufbaut, deren Zugriffsschutz den Token erkennt und den 
Zugang ennoglicht, worauf der generierte Token fur weitere 
Zugriffe ungiiltig gemacht wird. 

[0016] Die Tokengenerierung kann entweder durch das 
Automatisierungsgerate selbst oder durch eine externe Ein- 
heit erfolgen (vgl. Verfahren zum RLA Access in Siemens 
LANs, bei dem durch eine Scheckkarte Nummern erzeugt 
wird). Das Automatisierungsgerat uberpruft die Gultigkeit 
des Tokens entweder durch den Vergleich mit einem lokal 
abgelegtem Token oder durch andere Kriterien wie zeitliche 
Synchronitat oder Prufsummen. 

[0017] Dabei erfordert vorzugsweise eine Zugriffsanfrage 
eines Endgerates eine Identifizierung gegenuber der Auto- 
matisierungseinrichtung, die gepriif t wird, bevor diese einen 
Token generiert. 

[0018] Weiter hat es sich als besonders sic her erwiesen, 
wenn eine Mitteilung eines generierten Tokens in verschlus- 
selter Form iiber die physikalische Netzwerkverbindung er- 
folgt. 

[0019] Die Sicherheit lasst sich noch weiter steigern, 
wenn eine Mitteilung eines generierten Tokens iiber eine 
von der die Automatisierungseinrichtung und das Endgerat 
verbindenden physikalische Netzwerkverbindung unabhan- 
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gige andere Verbindung erfolgL 

[0020] Weiter hat es sich als gunstig erwiesen, wenn das 
Endgerat mit Hilfe des Tokens eine verschlusselte Verbin- 
dung zur Automarisierungseinrichtung aufbaut, insbeson- 
dere eine Verbindung mit Kanalverschlusselung. 5 
[0021] Der von der Automatisierungseinrichtung gene- 
rierte Token kann entweder ein Passwort oder eine Geheim- 
zahl/PIN oder eine Login/Pass wort Kombination oder ein 
Sicherheitszertifikat sein. Daneben sind noch eine Vielzahl 
anderer tokenbasierter elektronischer Signaturmittel wie 10 
z. B. Smart-Cards etc. einsetzbar. 

[0022] Die Sicherheit des erfindungsgemafien Verfahrens 
lasst sich noch weiter steigem, indem jeder von der Automa- 
tisierungseinrichtung generierte Token von vornherein zeit- 
lich nur begrenzt gultig ist. 15 
[0023] Dies lasst sich weiter verbessem, indem eine Ver- 
bindung zwischen der Automatisierungseinrichtung und ei- 
nem Endgerat ebenfalls zeitlich begrenzt ist. 
[0024] Wie eingangs dargestellt, kann die physikalische 
Netzwerkverbindung zwischen der Automatisierungsein- 20 
richtung und einem Endgerat eine lokale Netzwerkverbin- 
dung, insbesondere ein Intranet sein oder eine Intemet-Netz- 
werkverbindung. 

[0025] Ferner wird die Aufgabe der Erfindung durch eine 
Automatisierungseinrichtung zum Anschluss an eine physi- 25 
kalische Netzwerkverbindung mit einem Zugriffsschutz ge- 
lost, durch den 

- ein Zugriff auf die Automatisierungseinrichtung 
sperrbarist, 30 

- die Identitat eines anfragenden Endgerates verifi- 
zierbar ist, 

- auf Anforderung ein fiir einen einmaligen Zugriff 
giiltiger Token generierbar ist, 

- im Falle eines Zugriffsversuchs die Giiltigkeit eines 35 
solchen Tokens verifizierbar ist und dieser Token nach 
einmaligem erfolgreichen Aufbau einer Verbindung 
ungiiltig machbar ist. 

[0026] Die Erfindung lasst sich besonders gut zum sichc- 40 
ren Aufbau eines temporaren Zugriffs von einem Endgerat 
auf eine Automatisierungseinrichtung zur Durch running ei- 
nes Teleservice von einem Endgerat auf der Automatisie- 
rungseinrichtung verwenden. 

[0027] Weitere Vorteile und Details der Erfindung ergeben 45 
sich anhand der folgenden Ausfubrungen und in Verbindung 
nut der weiteren Figur. Es zeigt jeweils in Prinzipdarslel- 
lung: 

[0028] Fig. 1 ein Blockschaltbild einer erfindungsgema- 
Ben Automatisierungseinrichtung mit Zugriffsschutz, 50 
[0029] Fig. 2 ein Blockschaltbild einer herkoimnlichen 
Anbindung einer Automatisierungseinrichtung an ein Tele- 
fonnetz iiber Modems und 

[0030] Fig. 3 ein Blockschaltbild einer aktuellen Anbin- 
dung einer Automatisierungseinrichtung an eine Netz-Infra- 55 
struktur mit Intranet und Internet mit Absicherung durch 
eine Firewall. 

[0031] Die Darstellungen von Fig. 2 und Fig. 3 wurden 
bereits eingangs beschrieben. Die Fig. 3 zeigt nun eine erfin- 
dungsgemaBe Anordnung mit einer Automatisierungsein- 60 
richtung 1, mit der liber ein Intranet 6 und ein Internet 7 ein 
Endgerat 5 physikalisch verbunden ist. Die erfindungsgema- 
Ben MaBnahmen sind nun innerhalb der Automatisierungs- 
einrichtung 1 realisiert. 

[0032] Auf der Automatisierungseinrichtung wird ein Zu- 65 
griffsschutz 10 installieru z. B. in Form einer Zusatz-Soft- 
ware, die im Grundzustand keine Verbindung von auBen auf 
die Automatisierungseinrichtung 1 zulassL Durch einen ein- 
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fachen Bedienvorgang (keine Administrator-Rechte not- 
wendig, keine Benutzerverwaltung notwendig) kann iiber 
einen Tokengenerator 9, der ebenfalls im Rahmen des Zu- 
griffsschutzes 10 realisiert sein kann, ein Token erzeugt wer- 
den, mit dem der Zugriff von auBen freigegeben werden 
kann. Ein Token kann dabei z. B. ein Passwort, eine Login/ 
Passwort Kombination oder auch ein Sicherheits-Zertifikat 
etc. sein. 

[0033] Dabei erfuUt das Token vorzugsweise zumindest 
teilweise die folgenden Sicherheitsanforderungen: 

- die Giiltigkeit des Tokens ist zeitlich begrenzt, 
die Giiltigkeit des Tokens ist auf einmalige Verwen- 

dung eingeschrankt, 

- die Gesamtdauer der Online- Verbindung kann zeit- 
lich begrenzt werden (das Endgerat 5 erhalt eine War- 
nung kurz vor Trennung der Verbindung), 

- der Zugang wird nur fur einen bestimmten Client 
freigegeben (Identifikation z. B. anhand der IP- 
Adresse), 

- das Token wird fur jede Online- Verbindung neu er- 
zeugt, so dass dieses fur spatere Sessions nicht mehr 
verwendet werden kann, 

- die Generierung des Tokens kann nur an der AC 
selbst erfolgen, 

- die Daten werden verschliisselt (Secure Socket 
Layer SSL mit 128 Bit Schlussel). 

[0034] Die Abkiirzung SSL steht dabei fur "Secure Sok- 
keLs Layer" und bezeichnet ein Verfahren zur Sicherung von 
Dateniibertragung im Rahmen des Internet. Dabei wird der 
Datenstrom nach einem Handshake zu Beginn einer Verbin- 
dung unmittelbar auf der Bitebene durch Verschlusselung 
gesichert. Das Verschlusselungsverfahren fur die zu iibertra- 
genden Daten selbst basiert auf bekannten Verfahren. Am 
Ende einer Verbindung erfolgt ein zweiter Handshake. Der 
unbefugte Zugriff auf dem Ubertragungsmedium wird durch 
SSL verhindert, weshalb man auch von einer Kanalver- 
schlusselung spricht. 

[0035] Das Ziehen des Modcmstcckcrs wird somit durch 
eine Zugangssoftware ersetzt, die im Grundzustand jeden 
Zugang abweist. 

[0036] Darnit lasst sich dann folgendes Szenario realisie- 
rcn. Ein Wartungstcchnikcr vor Ort benotigt bci der Bcsciti- 
gung einer Storung die Hilfe der Service-Hotline. Der Ser- 
vice-Techniker benotigt wiederum einen Online-Zugang auf 
die Automatisierungseinrichtung, um die Storung genauer 
zu analysieren. Grundsatzlich besteht eine physikalische 
Netzverbindung (Internet) zwischen Automatisierungsein- 
richtung und Service-Hotline, allerdings besteht kein Zu- 
gang (Login u. Passwort). 

[0037] Der Servicetechniker bittet den Wartungstechniker 
nun (z. B. per Telefon oder E-Mail), einen temporaren Zu- 
gang herzustellen, und gibt dazu seine IP-Adresse zur Iden- 
tifizierung an. Dieser erzeugt daraufhin vor Ort das tempo- 
rare Login mit Passwort. Login und Passwort werden dem 
Servicetechniker mitgeteilt. Sobald sich der Servicetechni- 
ker einloggt, wird eine verschlusselte Verbindung aufgebaut 
und damit das Login ungiiltig. 

Patentanspriiche 

1. Verfahren zum sicheren Aufbau eines temporaren 
Zugriffs von einem Endgerat (5) auf eine Automatisie- 
rungseinrichtung (1), die iiber eine physikalische Netz- 
werkverbindung (3; 6, 7) miteinander verbunden sind, 
wobei die Automatisierungseinrichtung iiber einen Zu- 
griffsschutz (10) verfugt, der in einem Grundzustand 
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jeden Zugang iiber die Netzwerkverbindung (3; 6, 7) 
abweist, wobei die Automatisierungseinrichtung auf 
eine Zugriffsanfrage einen temporaren Zugang her- 
stellt, indern ein Token (9) generiert wird, der dem zu- 
greifenden Endgerat mitgeteilt wird, worauf das End- 5 
gerat mit Hilfe des Tokens eine Verbindung zur Auto- 
matisierungseinrichtung aufbaut, deren Zugriff sscbutz 
(10) den Token erkennt und den Zugang ermoglicht, 
worauf der generierte Token fur weitere ZugrifFe un- 
giiltig gemacht wird. 10 

2. Verfahren zum sicberen Aufbau eines temporaren 
Zugriffs von einem Endgerat (5) auf eine Automatisie- 
rungseinrichtung (1) nach Anspruch 1, wobei eine Zu- 
griffsanfrage eines Endgerates eine Identifizierung ge- 
geniiber der Automatisierungseinrichtung (1) erfordert, 15 
die gepriif t wird, bevor diese (1) einen Token generiert. 

3. Verfahren zum sicheren Aufbau eines temporaren 
Zugriffs von einem Endgerat (5) auf eine Automatisie- 
rungseinrichtung (1) nach Anspruch 1 oder 2, wobei 
eine Mitteilung eines generierten Tokens in verschlus- 20 
setter Form iiber die physikalische Netzwerkverbin- 
dung (3; 6, 7) erfolgt 

4. Verfahren zum sicheren Aufbau eines temporaren 
Zugriffs von einem Endgerat (5) auf eine Automatisie- 
rungseinrichtung (1) nach Anspruch 1 oder 2, wobei 25 
eine Mitteilung eines generierten Tokens iiber eine von 
der die Automatisierungseinrichtung (1) und das End- 
gerat (5) verbindenden physikalische Netzwerkverbin- 
dung (3; 6, 7) unabhangige andere Verbindung erfolgt. 

5. Verfahren zum sicheren Aufbau eines temporaren 30 
Zugriffs von einem Endgerat (5) auf eine Automatisie- 
rungseinrichtung (1) nach einem der vorangehenden 
Anspriiche, wobei das Endgerat mit Hilfe des Tokens 
eine verschlusselte Verbindung zur Automatisierungs- 
einrichtung aufbaut, insbesondere eine Verbindung mit 35 
Kanalverschlusselung. 

6. Verfahren zum sicheren Aufbau eines temporaren 
Zugriffs von einem Endgerat (5) auf eine Automatisie- 
rungseinrichtung (1) nach einem der vorangehenden 
Anspriiche, wobei der von der Automatisicrungscin- 40 
richtung (1) generierte Token (9) ein Passwort oder 
eine Geheimzahl/PIN ist. 

7. Verfahren zum sicheren Aufbau eines temporaren 
Zugriffs von einem Endgerat (5) auf cine Automatisie- 
rungseinrichtung (1) nach einem der vorangehenden 45 
Anspriiche 1 bis 5, wobei der von der Automatisie- 
rungseinrichtung (1) generierte Token (9) eine Login/ 
Passwort Kombination ist 

8. Verfahren zum sicheren Aufbau eines temporaren 
Zugriffs von einem Endgerat (5) auf eine Automatisie- 50 
rungseinrichtung (1) nach einem der vorangehenden 
Anspriiche 1 bis 5, wobei der von der Automatisie- 
rungseinrichtung (1) generierte Token (9) ein Sicher- 
heitszertifikat ist. 

9. Verfahren zum sicheren Aufbau eines temporaren 55 
Zugriffs von einem Endgerat (5) auf eine Automatisie- 
rungseinrichtung (1) nach einem der vorangehenden 
Anspruche, wobei jeder von der Automatisierungsein- 
richtung (1) generierte Token (9) zeitlich begrenzt gul- 
tig ist 60 

10. Verfahren zum sicheren Aufbau eines temporaren 
Zugriffs von einem Endgerat (5) auf eine Automatisie- 
rungseinrichtung (1) nach einem der vorangehenden 
Anspruche, wobei eine Verbindung zwischen der Auto- 
matisierungseinrichtung (1) und einem Endgerat (5) 65 
zeitlich begrenzt ist 

11. Verfahren zum sicheren Aufbau eines temporaren 
Zugriffs von einem Endgerat (5) auf eine Automatisie- 



rungseinrichtung (1) nach einem der vorangehenden 
Anspruche, wobei die physikalische Netzwerkverbin- 
dung zwischen der Automatisierungseinrichtung (1) 
und einem Endgerat (5) eine lokale Netzwerkverbin- 
dung, insbesondere ein Intranet (6), ist. 

12. Verfahren zum sicheren Aufbau eines temporaren 
Zugriffs von einem Endgerat (5) auf eine Automatisie- 
rungseinrichtung (1) nach einem der vorangehenden 
Anspruche, wobei die physikalische Netzwerkverbin- 
dung zwischen der Automatisierungseinrichtung (1) 
und einem Endgerat (5) eine Internet-Netzwerkverbin- 
dung (7) ist 

13. Automatisierungseinrichtung (1) zum Anschluss 
an eine physikalische Netzwerkverbindung (3; 6, 7) 
mit einem Zugriffsschutz (10), durch den 

ein Zugriff auf die Automatisierungseinrichtung (1) 
sperrbar ist, 

die Identitat eines anfragenden Endgerates (5) verifi- 
zierbar ist, 

auf Anforderung ein fur einen einmaligen Zugriff gul- 
tiger Token generierbar ist, 

im Falle eines Zugriffsversuchs die Giiltigkeit eines 
solchen Tokens verifizierbar ist und dieser Token nach 
einmaligem erfolgreichen Aufbau einer Verbindung 
ungiiltig machbar ist 

14. Verwendung eines Verfahrens zum sicheren Auf- 
bau eines temporaren Zugriffs von einem Endgerat (5) 
auf eine Automatisierungseinrichtung (1) nach einem 
der Anspriiche 1 bis 12 zur Durchfuhrung eines Tele- 
service von einem Endgerat auf der Automatisierungs- 
einrichtung. 
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